Ransomware: Neue Varianten verschärfen die Lage

bei

 / 25. November. 2021

Ransomware ist eine der am stärksten verbreiteten Cybercrime-Varianten der heutigen Zeit. Das BKA bezeichnet in seinem Lagebericht Ransomware-Angriffe sogar als die größte Cybercrime-Bedrohung für deutsche Unternehmen und öffentliche Einrichtungen überhaupt. Das BSI schreibt in seinem aktuellen Lagebericht, die Schäden durch Ransomware seien für betroffene Organisationen existenzbedrohend. Was viele nicht wissen: Unternehmen können sich leicht schützen.

Spektakuläres Beispiel für eine Ransomware-Attacke war der Angriff auf den Pipeline-Betreiber „Colonial Pipeline“ im Mai dieses Jahres – mit immensen Auswirkungen auf die Versorgungslage mit Treibstoff in den USA. Bereits im September vorigen Jahres erfolgte der Angriff auf das Universitätsklinikum Düsseldorf, mit gravierenden Konsequenzen: Das Krankenhaus musste sich für 13 Tage von der Notfallversorgung abmelden. Eine Person soll in Folge dessen verstorben sein, weil sie nicht rechtzeitig behandelt werden konnte.

Nicht immer sind die Folgen von Ransomware eine Gefahr für Leib und Leben. Aber auch das BSI betont in seinem aktuellen Lagebericht die enorme Bedrohung durch diese Angriffsart für Organisationen. Dabei beobachtete das BSI neue Entwicklungen, die Ransomware noch gefährlicher machen. So waren im Herbst und Winter 2020 weitere Angriffswellen mit der Schadsoftware Emotet zu beobachten. Eine Emotet-Infektion ermöglicht es, den Angreifern bei ausgewählten Opfern Ransomware nachzuladen.

Schutz- und Schweigegelderpressung

Bei einem Ransomware-Angriff verlangen Cyberkriminelle ein Lösegeld, um zuvor gestohlene oder verschlüsselte Daten wieder freizugeben. Solche Erpresserangriffe sind längst Teil eines lukrativen, kriminellen Geschäftsmodells. Keine Branche, Region oder Unternehmensgröße ist heute davor gefeit und mit jeder Weiterentwicklung der Angriffe steigen die Lösegeldforderungen. Sie liegen nicht selten bei einer Höhe von 1 Millionen Euro und mehr. Das Bundeskriminalamt (BKA) bezeichnet Ransomware-Angriffe daher als größte Cybercrime-Bedrohung für deutsche Unternehmen und öffentliche Einrichtungen überhaupt.

Als neue Ausprägungen beobachtete das BSI Schutzgeld- und Schweigegelderpressungen. Bereits im Herbst 2020 sei eine weltweite Kampagne von Cyber-Erpressern auszumachen gewesen, die unter Androhung von Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen) Schutzgelder von zahlungs­kräftigen Opfern erpressten. Bei DDoS-Angriffen werden Webseiten so stark mit Anfragen attackiert, dass sie nicht mehr erreichbar sind. Schweigegelderpressungen kommen vermehr zustande, da Daten bei einem Angriff nicht mehr nur verschlüsselt, sondern auch gestohlen werden. Die Angreifer drohen dann mit der Veröffentlichung der Daten, falls nicht gezahlt wird.

Der Präsident des Digitalverbands BITKOM, Achim Berg, warnt: „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen.“ In einer aktuellen Studie hat der Digitalverband BITKOM aufgezeigt, dass Ransomware Haupttreiber des enormen Anstiegs von Cyberangriffen im vergangenen Jahr ist. Die so verursachten Schäden hätten sich im Vergleich zu den Vorjahren 2018/2019 mehr als vervierfacht (+358 Prozent). Aktuell sehe jedes zehnte Unternehmen (neun Prozent) seine geschäftliche Existenz durch Cyberattacken bedroht.

Wie gelangt Ramsomware in das Netzwerk?

Ransomware-Angriffe werden häufig über File-Sharing-Netzwerke und Phishing-E-Mails verbreitet – versteckt in Bildern oder als ausführbare Dateien im Anhang von E-Mails. WannaCry, einer der bekannteren Ransomware-Angriffe, nutzte eine Schwachstelle in einem Protokoll von Microsoft, wodurch jeder ungepatchte, mit dem Internet verbundene Computer für eine Infektion anfällig wurde. Andere Angriffe nutzen ungesicherte Remote-Desktop-Dienste. In Zeiten von Remote Work und Homeoffice bieten sich daher besonders viele Schwachstellen.

Das BSI beschreibt im aktuellen Lagebericht eine dreistufige Angriffsstrategie, die häufig für die Verbreitung von Ransomware zum Einsatz kommt: Zunächst wird der Trojaner Emotet eingeschleust. Er dient als Türöffner. Daraufhin wird die Schadsoftware Trickbot nachgeladen, um das Netzwerk auszuspionieren und Passwörter auszuspähen und Konten einzusehen. Besonders lohnenswerten Zielen wurden erst dann die Ransomware Ryuk aufgespielt und Lösegeld erpresst. Ein solcher sehr gezielter Angriff auf finanzstarke Opfer wird auch als „Big Game Hunting“ bezeichnet. Der Emotet-Virus ist zwar inzwischen stillgelegt. Es ist jedoch nur eine Frage der Zeit, bis neue – womöglich noch intelligentere – Varianten solcher Türöffner auftauchen.

Wer ist besonders betroffen?

Bei Erpresserangriffen geht es um Geld – daher sind vor allem finanzstarke Unternehmen im Visier der Angreifer. Unternehmen, die sensible Kundendaten speichern, werden zudem eher Opfer eines Angriffs, bei dem Schweigegeld gefordert wird. Betroffen sind zudem vermehrt Unternehmen, die zu den Kritischen Infrastrukturen zählen. Dies sind u.a. Energieversorger, Finanzinstitute, Lebensmittel- und Transportunternehmen. Auch hier schätzen die Erpresser den Erfolg als hoch ein, da ein Ausfall oder eine schwere Beeinträchtigung von solchen KRITIS-Unternehmen zu Störungen der öffentlichen Sicherheit oder zu Versorgungsengpässen führen. Die Beispiele des BSI-Lageberichtes zeigen, welche Auswirkungen solche Angriffe auf ein Krankenhaus oder eine Öl-Pipeline haben können. Laut einer Studie des Analysten Techconsult [1] sind die häufigsten Angriffe auf KRITIS-Unternehmen Phishing-Attacken – also eine Angriffsart, die ein wichtiger Türöffner für Ransomware ist. Jedes dritte Unternehmen gab an, dass das Anklicken einer solchen E-Mail bereits zu einem Sicherheitsvorfall geführt habe.

Wie sollten Unternehmen auf einen Ransomware-Angriff reagieren?

Ist die Geschäftsfähigkeit durch einen Angriff bedroht, sehen sich viele Unternehmen genötigt, zu zahlen – in der Annahme schnell wieder Zugriff auf unternehmenskritische Daten und Informationen zu erlangen. Doch es gibt keine Garantie dafür, dass die Daten nach der Zahlung wieder freigeschaltet werden. Das BSI schreibt in seinem aktuellen Lagebericht: Darüber hinaus erweiterten einzelne Angreifergruppierungen ihre Strategie dahingehend, dass vor der Verschlüsselung von Daten diese zunächst unrechtmäßig abgespeichert wurden.

Dies bedeutet, dass im Fall eines Ransomware-Angriffs nunmehr grundsätzlich auch davon ausgegangen werden muss, dass die Daten dauerhaft kompromittiert sind; und zwar auch dann, wenn ein Lösegeld oder Schweigegeld gezahlt worden ist. Die Angreifer drohen bei dieser Variante mit nicht mit der Vernichtung, sondern mit der Veröffentlichung der Daten.

Das BKA rät daher: Unternehmen, die von einem Erpresserangriff betroffen sind, sollten auf keinen Fall den Lösegeldforderungen nachkommen. Jede erfolgreiche Erpressung animiert den Angreifer, weiterzumachen. Lösegelder finanzieren zudem die Weiterentwicklung von Schadsoftware und fördern deren Verbreitung.

Die Polizei informieren

Im Falle eines Ransomware-Angriffs sollten Unternehmen stattdessen die Erpressungsnachricht auf dem Bildschirm fotografieren und eine Anzeige bei der Polizei erstatten. Alle infizierten Computer sollten dann so schnell wie möglich voneinander, vom gemeinsamen Speicher und vom Netzwerk getrennt werden. Um die Daten wiederzuerlangen kann es helfen, den Rechner neu aufzusetzen und Daten-Backups aufzuspielen.

Um juristische Konsequenzen zu verhindern, sollten Unternehmen zudem prüfen, ob sie

  • den Angriff beim BSI (Bundesamt für Sicherheit in der Informationstechnik) melden müssen. Anbieter digitaler Dienste wie Online-Marktplätzen, Suchmaschinen und Cloud-Computing-Diensten sind verpflichtet, ein IT-Sicherheitsniveau gemäß „dem Stand der Technik“ zu erfüllen. Vorfälle sind laut § 8c BSI-Gesetz zu melden.
  • den Angriff der Aufsichtsbehörde melden müssen. Durch den Angriff kann der Schutz personenbezogener Daten bedroht sein, wenn keine Backups von ihnen vorliegen. Das wäre ein Verstoß gegen die EU-DSGVO. Erpresser können ausgespähte und kriminell verschlüsselte Daten zudem an Dritte verkaufen oder drohen damit, wodurch die Vertraulichkeit der personenbezogenen Daten nicht mehr gewährleistet ist. Auch das ist ein Verstoß gegen die EU-DSGVO und wird mit empfindlichen Geldstrafen geahndet.

Wie können sich Unternehmen vor einem Ransomware-Angriff schützen?

Die gute Nachricht ist: Unternehmen und Behörden können sich vor Ransomware schützen bzw. die Gefahr eines Angriffs minimieren. Und zwar mit folgenden Maßnahmen:

  • Sicherheitslücken schließen: Softwarehersteller veröffentlichen regelmäßig so genannte Patches. Mir diesen Programmkorrekturen lassen sich bekannte Fehler in Programmen ausbessern oder Sicherheitslücken schließen. Patches sollten regelmäßig und zeitnah auf alle Geräte im IT-Netzwerk eines Unternehmens aufgespielt werden. Dies ist die beste Absicherung gegen jede Art von Hacking-Versuchen, also auch gegen Ransomware. Regelmäßige Software-Updates sind ein weiterer wichtiger Schutzmechanismus gegen Cyberangriffe und Ransomware.
  • Keine veralteten Systeme: Das Alter der Geräte spielt eine wichtige Rolle für die Netzwerksicherheit. Veraltete Systeme mit nicht mehr unterstützten Betriebssystemen – wie Windows XP – sollten keinesfalls in einem mit dem Internet verbundenen Netzwerk laufen.
  • Vertrauensvolle Links nutzen: Anhänge oder Links, die nicht zweifelsfrei sicherer Herkunft sind, sollten auf keinen Fall geöffnet werden. Die Mitarbeiter müssen entsprechend geschult werden.
  • Verifizierte Download-Quellen: Mitarbeiter sollten niemals Programme aus dem Internet herunterladen, die nicht von verifizierten Stellen angeboten sind.
  • Daten mit Backups sichern: Regelmäßige Backups auf externen Datenträgern sichern den Zugang zu unternehmenskritischen Daten.

Zusätzlich gibt es eine Reihe von sehr wirksamen IT-Sicherheitstechnologien mit denen sich Ransomware-Angriffe abwehren lassen.

  • Der wichtigste Schutz ist die Absicherung des Internetzugangs. Denn das Internet ist für Angreifer das Einfallstor Nummer Eins. Möglich ist das mit einem virtuellen Browser. Dieser erlaubt das Surfen im Internet, ohne, dass Hacker Zugriff auf die Unternehmensnetzwerke erlangen können.
  • Remote-Arbeit & Homeoffice absichern: Nutzen Remote-Arbeitende das Internet über private oder öffentliche WiFi-Netzwerke oder andere ungesicherte Netze, können ihre Endgeräte infiziert oder kompromittiert werden. Wenn sie dann später mit demselben Gerät auf Unternehmens- oder Behördennetzwerke zugreifen, verbreitet sich diese Infektion. Verhindern lässt sich das mit einer hochsicheren VPN-Verbindung.
  • Webanwendungen schützen: Die Online-Infrastruktur in Unternehmen wächst stetig und webbasierte Anwendungen gehören längst zum Alltag. Doch sie erhöhen die Zahl der möglichen Sicherheitslücken. Mit einer Web Application Firewall lassen sich solche Webanwendungen überwachen und rechtzeitig patchen. Weitere Informationen.

Quellen und Referenzen:

[1] Techconsult-Studie | Rohde & Schwarz (rohde-schwarz.com)

Über den Autor / die Autorin:


Dr. Falk Herrmann In seiner 20-jährigen Karriere hat Dr. Falk Herrmann u.a. bei der Bosch-Gruppe die strategische Entwicklung innovativer Produktfamilien in Wachstumsmärkten umgesetzt. Heute baut der promovierte Ingenieur die Position von Rohde & Schwarz Cybersecurity mit vertrauenswürdigen Produkten nachhaltig aus.